Proč jsou hesla pořád slabým místem
Navzdory dvoufázovému ověření a moderním bezpečnostním prvkům zůstává heslo nejčastějším cílem útoků. Podle dlouhodobých bezpečnostních analýz se velká část průniků do účtů děje kvůli znovupoužitým, krátkým nebo snadno odhadnutelným heslům. Útočníci přitom dnes často nepoužívají jen „hádaní naslepo“, ale automatizované nástroje, které testují miliony kombinací za minuty.
Největší problém není jen slabé heslo samotné, ale hlavně jeho opakované použití napříč službami. Pokud unikne jedno heslo z e-shopu, útočníci ho zkouší na e-mailu, sociálních sítích i firemních účtech. Tomu se říká credential stuffing a je to jeden z důvodů, proč by každé důležité konto mělo mít unikátní přihlašovací údaje.
Jak vypadá opravdu silné heslo
Zapomeňte na pravidlo „velké písmeno, číslo a vykřičník na konci“. Moderní útoky si s takovou úpravou poradí poměrně rychle, protože útočníci znají běžné vzorce. Mnohem lepší je stavět heslo na délce a náhodnosti.
Bezpečné heslo by mělo mít ideálně alespoň 14 až 16 znaků, u citlivých účtů klidně více. Nejlepší je kombinace náhodných slov, znaků a oddělovačů, případně úplně náhodně generovaný řetězec. Důležité je, aby nebyl odvoditelný z osobních údajů, jako jsou jména dětí, datum narození, oblíbený klub nebo název firmy.
Praktický příklad:
- Špatně: Jirka1987!
- Lépe: modra-lampa-kava-7
- Nejlépe: náhodně vygenerované heslo typu Q7!mP2#vL9@xR4
Pro běžného uživatele je často nejpoužitelnější varianta passphrase – tedy delší fráze složená z několika nesouvisejících slov. Když je dostatečně dlouhá a neobsahuje známé citace nebo fráze z internetu, bývá velmi odolná a současně lépe zapamatovatelná než krátký „kód“.
Jak si heslo vytvořit v praxi
Nejbezpečnější postup je nepsat si nové heslo „od oka“, ale nechat ho vytvořit nástrojem. To platí zejména u důležitých účtů, jako je e-mail, cloud, bankovnictví, administrace webu nebo sociální sítě. Pokud si heslo vytváříte ručně, držte se jednoduchého a opakovatelného postupu:
- použijte minimálně 4 nesouvisející slova,
- přidejte znak nebo číslo na nečekané místo,
- nepoužívejte veřejně dohledatelné informace,
- nepoužívejte stejné heslo pro více služeb,
- u kritických účtů zapněte dvoufázové ověření.
V ideálním případě by heslo mělo být unikátní pro každou službu. To je v praxi téměř nemožné bez správce hesel, protože průměrný člověk si bezpečně nezapamatuje desítky náhodných přístupových údajů. Právě tady přichází na řadu specializovaný nástroj.
Proč je správce hesel nutností
Správce hesel řeší tři zásadní problémy najednou: bezpečnost, pohodlí a organizaci. Uloží všechna hesla v šifrované podobě, generuje silná a unikátní hesla a automaticky je vyplňuje do přihlašovacích formulářů. Díky tomu nemusíte používat slabé opakování ani si vše pamatovat.
Bez správce hesel lidé typicky končí u několika rizikových návyků: zapisují si hesla do poznámek, používají jedno heslo všude, nebo tvoří variace typu Firma123, Firma123!, Firma1234. Útočníci tyto vzorce velmi dobře znají. Správce hesel naopak umožňuje mít pro každý účet jiný, dlouhý a náhodný řetězec bez ztráty použitelnosti.
Mezi ověřené nástroje patří například 1Password, Bitwarden, Dashlane nebo Keeper. Pro jednotlivce i menší firmy je často velmi zajímavý Bitwarden, protože nabízí i kvalitní bezplatnou variantu a zároveň podporuje bezpečné sdílení hesel. Pro uživatele Apple ekosystému může být praktický i iCloud Klíčenka, ale u týmového sdílení a pokročilé správy bývá specializovaný správce flexibilnější.
Jak správce hesel nastavit správně
Samotná instalace nestačí. Pokud chcete z nástroje vytěžit maximum, je potřeba nastavit několik bezpečnostních pravidel. Prvním krokem je vytvořit hlavní heslo, které chrání celý trezor. To musí být opravdu silné, protože je to jediný údaj, který si musíte pamatovat.
Doporučený postup:
- vytvořte hlavní heslo jako dlouhou passphrase, ideálně 20+ znaků,
- zapněte dvoufázové ověření k samotnému správci hesel,
- povolte automatické generování hesel při registraci nových účtů,
- zkontrolujte synchronizaci mezi zařízeními,
- pravidelně aktualizujte aplikaci i rozšíření do prohlížeče.
U firemních účtů je vhodné využít i funkce jako sdílené trezory, oddělení přístupů podle rolí a audit přístupových údajů. To pomáhá nejen bezpečnosti, ale i provozu webu a marketingovým týmům, které sdílejí přístupy k WordPressu, GA4, Search Console, reklamním účtům nebo CRM.
Nejčastější chyby a jak se jim vyhnout
Největší chybou je spoléhat na „dobrou paměť“. Lidé si často myslí, že mají několik silných hesel, ale ve skutečnosti jde jen o mírně upravené varianty. Další riziko představuje ukládání hesel do nechráněných poznámek, do e-mailu nebo do tabulky bez šifrování.
Pozor si dejte i na phishing. I silné heslo je k ničemu, pokud ho zadáte na falešné přihlašovací stránce. Proto je důležité kontrolovat doménu, používat správce hesel s automatickým vyplňováním jen na správném webu a u citlivých služeb mít zapnuté 2FA nebo ideálně passkeys, pokud je služba podporuje.
U firemních webů a e-shopů doporučuji také pravidelně kontrolovat, kdo má přístup do administrace, zda nejsou staré účty aktivní zbytečně dlouho a jestli administrátorská práva nemá více lidí, než je nutné. Bezpečnost hesel totiž není jen individuální téma, ale i provozní otázka celého webu.
Jaké nastavení dává v roce 2026 největší smysl
Nejpraktičtější kombinace pro většinu uživatelů je dnes jednoduchá: správce hesel + unikátní dlouhá hesla + dvoufázové ověření. U nejdůležitějších účtů přidejte ještě bezpečnostní klíč nebo passkeys, pokud je daná služba podporuje. Tím výrazně snížíte riziko zneužití i při úniku dat z externí služby.
Pokud spravujete web, e-shop nebo marketingové nástroje, berte správce hesel jako základní pracovní nástroj, nikoli jako „bonus“. Ušetří čas při přihlašování, sníží chaos v týmu a hlavně minimalizuje škody, které může způsobit jedno kompromitované heslo. V praxi platí jednoduché pravidlo: čím více účtů máte, tím méně dává smysl spoléhat na paměť a tím víc roste hodnota správce hesel.
